Checkliste Prüfung Technische und Organisatorische Maßnahmen (TOM) aktualisiert
Einsatzzweck der Checkliste zur Prüfung Technische und Organisatorische Maßnahmen
Wir haben die erstmals im Juni 2019 hier veröffentlichte Checkliste zur Prüfung von technischen und organisatorischen Maßnahmen (kurz TOM) überarbeitet. Mittels dieser Checkliste können Sie
- Ihre eigenen technischen und organisatorischen Maßnahmen prüfen und grob dokumentieren (kein Ersatz für eine Detaildokumentation),
- das Schutzniveau Ihrer Dienstleister im Rahmen von Art. 28 DSGVO Auftragsverarbeitung und deren technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO grob prüfen,
- die Prüfung des Schutzniveaus bei Ihren Dienstleistern dokumentieren oder
- sich einfach einen ersten Überblick über die eigenen internen Schutzmaßnahmen verschaffen (Was fehlt? Was ist schon vorhanden?).
Wieso Prüfung der technischen und organisatorischen Maßnahmen?
Art. 28 Abs. 1 DSGVO besagt:
“Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.”
https://dsgvo-gesetz.de/art-28-dsgvo/
Mittels dieser Checkliste können Sie sich schon mal grob einen ersten Überblick verschaffen. Je nach Detailgrad beim Ausfüllen der Prüfpunkte kann das Dokument jedoch auch als Ersatz für eine zusätzliche und ausführlichere Dokumentation herangezogen werden. Dafür haben wir bewußt zahlreiche Frei- und Kommentarfelder vorgesehen, um hier auch ins Detail gehen zu können.
Welche Themen behandelt die Checkliste?
Wir haben uns beim Aufbau sowohl an den Anforderungen der DSGVO orientiert als auch bewährtes aus den früheren Anforderungen bzw. Überschriften des Bundesdatenschutzgesetzes orientiert. Der Aufbau ist wie folgt:
- Vertraulichkeit
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Trennungskontrolle
- Pseudonymisierung (lit a)
- Integrität
- Weitergabekontrolle
- Eingabekontrolle
- Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Datenschutz-Management
- Incident Response Management
- Datenschutzfreundliche Voreinstellungen
- Auftragskontrolle
Was hat sich gegenüber der vorherigen Version der Checkliste geändert?
- Hinzunahme von Anlagen, die beigefügt werden können wie
- Verzeichnis zu den Kategorien von im Auftrag durchgeführten Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO)
- Liste der eingesetzten Subunternehmer mit Tätigkeiten für Sie als Auftraggeber
- Richtlinie Datenschutz
- Richtlinie Umgang mit Datenpannen
- Übersicht der Sensibilisierungs- und Schulungsmaßnahmen der letzten 24 Monate
- Konkretisierung bei vorhandenen ISMS
- Erhöhung des Detailgrads bei der einen oder anderen Auswahl
- Formatierungen
Ist die Checkliste kostenfrei?
Wie die früheren Versionen dieser Checkliste stellen wir auch die aktuelle Checkliste wieder kostenfrei zur Verfügung. Wir appellieren jedoch an die Fairness der Nutzer und Downloader: Wir möchten nicht, dass diese Checkliste ohne unsere Zustimmung auf anderen Internetseiten als Muster zum Download angeboten wird oder sich irgendwann in einem käuflich zu erwerbenden Vorlagenbuch (analog oder digital) wiederfindet. Es wird keine Haftung für Schäden durch die Verwendung der Checkliste übernommen.
Anregungen und Vorschläge für die Weiterentwickung der Checkliste gerne an info@ask-datenschutz.de